Эксперты компании Cyberreason Nocturnus рассказали, что обнаруженный в 2019 году загрузчик Valak теперь превратился в полноценный инфостилер и атакует компании в США и Германии. Исследователи пишут, что за последние полгода малварь получила более 20 обновлений и теперь представляет собой полноценную и самостоятельную угрозу.

Valak распространяется при помощи фишинговых атак и документов Microsoft Word, содержащих вредоносные макросы. Если малварь проникла в систему, то на зараженную машину загружается файл .DLL с именем U.tmp­ и сохраняется во временную папку. Затем выполняется вызов WinExec API и загружается JavaScript-код, устанавливая соединение с управляющими серверами. После этого на зараженный хост загружаются дополнительные файлы, которые декодируются с использованием Base64 и XOR, и развертывается основная полезная нагрузка.

Чтобы надежно закрепиться в скомпрометированной системе, малварь вносит изменения в реестр и создает запланированное задание. После этого Valak переходит к загрузке и запуску дополнительных модулей, отвечающих за обнаружение и кражу данных.

Два основных пейлоада (project.aspx и a.aspx) выполняют разные функции. Первый управляет ключами реестра, планированием задач и вредоносной активностью, а второй (внутреннее имя PluginHost.exe) представляет собой исполняемый файл для управления дополнительными компонентами вредоноса.

Модуль ManagedPlugin обладает самыми разными функциями: собирает системную информацию (локальные и доменные данные); имеет функцию Exchgrabber, целью которой является проникновение в Microsoft Exchange путем хищения учетных данных и сертификатов домена; имеет верификатора геолокации и функцию захвата скриншотов; содержит инструмент Netrecon для сетевой разведки.

«Хищение конфиденциальных данных дает злоумышленникам доступ к пользователю внутреннего домена, то есть доступ к внутренним почтовым службам организации, а также доступ к сертификату домена организации.

Имея systeminfo, злоумышленники могут определить, какой пользователь является администратором домена. Это создает опасное сочетание утечки конфиденциальных данных и крупномасштабной потенциальной компрометации с целью кибершпионажа или хищения данных. Это демонстрирует, что первоочередные цели этой малвари — это прежде всего предприятия», — заключают эксперты.

1 комментарий

  1. Аватар

    pancho

    28.05.2020 в 13:47

    Грусть тоска печаль
    Хорошо что десятку не трогает

Оставить мнение